Grenzüberschreitende Transfers nach Chinas PIPL

Schliessen Sie Lücken in der China-SCC-Compliance über jede Einheit hinweg

Aktualisiert am 2026-06-23
Key Takeaways: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die die China-PIPL-SCC-Compliance – PIIAs, CAC-Einreichungen und Transferregister – mit DSGVO- und revDSG-Workflows vereint.

Verwalten Sie PIIA-Bewertungen, CAC-Einreichungen und die Dokumentation grenzüberschreitender Transfers für alle Tochtergesellschaften – in derselben Plattform, die Sie für die DSGVO nutzen.

Buchen Sie Ihre China-SCC-Compliance-Demo Plattformfunktionen ansehen

Vertraut von Datenschutzteams bei AXA, Pilatus Aircraft, Zurzach Care und über 200 Organisationen -- Bewertet mit 4.8/5 auf G2 für Privacy Management

Chinas PIPL-Standardvertragsklauseln schaffen laufende Pflichten zu Einreichung, Bewertung und Dokumentation für jede Einheit, die personenbezogene Informationen aus der VR China übermittelt. Wenn Sie dies über mehrere Tochtergesellschaften hinweg verwalten, wissen Sie bereits: Tabellen und juristische Memos reichen nicht aus.

Priverion gibt Datenschutzteams eine einzige Plattform, um die China-SCC-Anforderungen parallel zu DSGVO-Transferfolgenabschätzungen, DSFA-Workflows und Pflichten zum Verarbeitungsverzeichnis zu verwalten – über jede Einheit Ihrer Gruppe hinweg. Keine Doppelarbeit. Keine Compliance-Lücken zwischen Jurisdiktionen.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Verwalten Sie die SCC-Anforderungen für grenzüberschreitende Datentransfers aus China in derselben Plattform, die Sie für die DSGVO nutzen

Jede Funktion ist direkt auf das abgebildet, was Chinas SCC-Regime verlangt – ohne Behelfslösungen, ohne parallele Tabellen, ohne zweite Plattform.

KI-gestützte PIIA-Erstellung

Chinas Personal Information Impact Assessment hat andere Kriterien als eine DSFA nach DSGVO – andere Risikofaktoren, andere Aufbewahrungsregeln, einen verpflichtenden Einreichungsschritt. Die KI-gestützte Bewertungserstellung von Priverion generiert PIIA-spezifische Vorlagen, die die CAC-Anforderungen widerspiegeln, und füllt Transferdetails aus Ihren bestehenden Datenkarten vor. Ihr Team prüft und genehmigt jedes Ergebnis, bevor es zu einem Compliance-Datensatz wird.

Ergebnis: Ein Medizintechnikunternehmen sparte über 200 Stunden bei der Vorbereitung der Bewertungsdokumentation für ISO 27001 – dieselbe Workflow-Effizienz gilt für China-PIIAs.

Fallstudie eines Medizintechnikunternehmens, erste 12 Monate der Plattformnutzung

Einreichungs-Tracker über alle Einheiten

Jede Tochtergesellschaft in der VR China reicht ihre China-SCC eigenständig bei ihrer lokalen Provinzbehörde der CAC ein – innerhalb von 10 Arbeitstagen nach Inkrafttreten des Vertrags. Priverion verfolgt Einreichungsstatus, Fristen und verantwortliche Personen über jede Einheit Ihrer Gruppe hinweg aus einem einzigen Dashboard. Kein Hinterherjagen mehr per E-Mail, um zu bestätigen, ob eine Einreichung fristgerecht erfolgt ist.

Automatisierte Auslöser für die Rezertifizierung

Die China-SCC-Compliance ist keine einmalige Einreichung. Wenn sich der Transferzweck ändert, neue Datenkategorien hinzukommen oder ein Empfänger seine Unterauftragsverarbeiter wechselt, muss die PIIA erneut durchgeführt und die Einreichung aktualisiert werden. Priverion überwacht Transferaufzeichnungen und löst Rezertifizierungs-Workflows automatisch aus, sobald Änderungen erkannt werden – damit nichts durchrutscht, weil jemand vergessen hat, eine Tabelle zu aktualisieren.

Ergebnis: Ein Schweizer Versicherer erreichte eine Rezertifizierungsquote von 100% beim Verarbeitungsverzeichnis mit vollständig automatisierten Workflows – derselbe Mechanismus treibt die China-SCC-Neubewertungs-Compliance an.

Kundenreferenz eines Schweizer Versicherers, automatisierte Rezertifizierung

Einheitliches Register der Transfermechanismen

DSGVO-SCCs nach Artikel 46 in die USA. China-PIPL-SCCs zu Ihrer europäischen Zentrale. Angemessenheitstransfers nach Schweizer revDSG. Die meisten Organisationen verfolgen diese in völlig getrennten Systemen – oder schlimmer, gar nicht. Priverion gibt dem Gruppen-Datenschutzbeauftragten ein einziges Register aller grenzüberschreitenden Transfermechanismen über jede Einheit und Jurisdiktion hinweg, mit Status, Ablaufdaten und verknüpften Bewertungen in einer Ansicht.

Ergebnis: Ein Flugzeughersteller reduzierte den administrativen Compliance-Aufwand in den ersten 6 Monaten um 60% – und beseitigte genau die Art von Multi-System-Fragmentierung, die China-SCCs sonst schaffen würden.

Flugzeughersteller, erste 6 Monate nach der Einführung

Auditbereite Nachweispakete

Die CAC kann Ihre PIIA-Dokumentation, Einreichungsbestätigungen und SCC-Anhänge jederzeit anfordern. Chinas SCC-Regeln verlangen, dass PIIA-Aufzeichnungen mindestens 3 Jahre aufbewahrt werden. Priverion führt einen vollständigen, zeitgestempelten Audit-Trail – jede Bewertungsversion, jeden Einreichungsnachweis, jeden Vertragsanhang – in Minuten exportierbar für jede Aufsichtsbehörde, in jeder Jurisdiktion.

Ergebnis: Ein Gesundheitsdienstleister erreichte eine 100%-Abdeckung bei der Lieferanten-Risikobewertung – dieselbe Dokumentationssorgfalt erstreckt sich auf die Compliance-Aufzeichnungen grenzüberschreitender Transfers.

Kundenreferenz eines Gesundheitsdienstleisters

Schweizer Datensouveränität – auch für die China-Compliance

Ihre Daten zur China-SCC-Compliance . PIIAs, Einreichungsnachweise, Transferbewertungen , sind per Definition sensibel. Priverion verarbeitet und speichert alle Plattformdaten ausschliesslich innerhalb der Schweizer Infrastruktur. In einer Welt nach Schrems II, in der selbst die Datenresidenz Ihrer Compliance-Werkzeuge zählt, ist Schweizer Hosting kein Marketing-Häkchen. Es ist eine Vertrauensarchitektur-Entscheidung, die Ihre eigene Datentransfer-Story vereinfacht.

Sämtliche Datenverarbeitung innerhalb der Schweizer Infrastruktur. Keine Kundendaten für das Training von KI-Modellen. Europäische Datenresidenz garantiert.

Priverion-Infrastrukturverpflichtung

200+

Eingesparte Stunden bei der ISO-27001-Vorbereitung

Ein Medizintechnikunternehmen reduzierte die Dokumentationsvorbereitung von monatelanger manueller Arbeit auf automatisierte Nachweispakete – und konnte sich so auf Sicherheitsverbesserungen statt auf Audit-Papierkram konzentrieren.

60%

Geringerer Compliance-Verwaltungsaufwand gegenüber Altsystemen

Ein Flugzeughersteller senkte den Verwaltungsaufwand für das Verarbeitungsverzeichnis in den ersten 6 Monaten um 60% – mit planbaren Preisen, die Wachstum über Tochtergesellschaften hinweg nicht bestrafen.

3 Mt.

Vorsprung beim Zeitplan zur ISO-27001-Zertifizierung

Das Compliance-Team eines Medizintechnikunternehmens erreichte die Auditbereitschaft ein ganzes Quartal früher, indem es Priverions automatisierte Nachweiserstellung und vorab zugeordnete ISO-27701-Massnahmen nutzte.

Für den Mittelstand gebaut. Nicht aus dem Enterprise-Segment abgespeckt.

OneTrust bedient Fortune-500-Organisationen mit breiterem GRC-Umfang und eigenen Datenschutzteams. Priverion liefert das, was Organisationen mit mehreren Einheiten tatsächlich brauchen – ohne die Module, die Sie nie nutzen, die Integrationen, die Sie nie konfigurieren, oder die Rechnungsüberraschungen, die Sie nie vergessen werden.

Was Sie mit OneTrust bekommen

In den USA gehostete Infrastruktur

Daten werden unter US-Jurisdiktion verarbeitet. Nach Schrems II schafft dies ein dauerhaftes rechtliches Risiko für europäische Organisationen, die personenbezogene Daten an eine unter FISA 702 und EO 12333 gehostete Plattform übermitteln.

Preise pro Modul und pro Nutzer

Die Kosten steigen unvorhersehbar, wenn Ihr Team wächst. Das Hinzufügen von Einheiten, Nutzern oder Modulen löst neue Positionen aus – was die Jahresplanung für CFOs zum Ratespiel macht.

Enterprise-Komplexität als Standard

Gebaut für Fortune-500-Organisationen mit eigenen Einführungsteams. Mittelständische Unternehmen berichten von monatelangem Onboarding, bevor sie einen Nutzen sehen – und von dauerhafter Abhängigkeit von externen Beratern, um Workflows zu konfigurieren.

200+ oberflächliche Integrationen

Beeindruckende Anzahl an Konnektoren, doch die meisten erfordern individuelle Konfiguration und laufende Wartung. Breite statt Tiefe bedeutet mehr IT-Aufwand, nicht weniger.

Breite Plattform, verstreuter Fokus

Deckt ESG, Ethik-Hotlines, Cookie-Einwilligung, GRC – und Datenschutz ab. Wenn Datenschutz eines von zwölf Modulen ist, erhält er selten die F&E-Investition, die dedizierte Plattformen leisten.

Was Sie mit Priverion bekommen

In der Schweiz entwickelt, in der Schweiz gehostet

Sämtliche Daten werden innerhalb der Schweizer Infrastruktur verarbeitet – eines von nur drei Ländern mit einem EU-Angemessenheitsbeschluss. Europäische Datenresidenz ist kein Funktionsschalter. Sie ist unsere Architektur.

Planbare, einheitenbasierte Preise

Bepreist nach Anzahl der Unternehmen und Organisationsgrösse – nicht pro Nutzer oder pro Modul. Keine Erweiterungsfallen. Ihr CFO kann das Budget des nächsten Jahres schon heute planen.

Einsatzbereit in Wochen, nicht Monaten

Speziell für Datenschutzpraktiker entwickelte Benutzeroberfläche – nicht von einer GRC-Megaplattform adaptiert. Ein Flugzeughersteller erreichte innerhalb der ersten 6 Monate eine Reduktion des Compliance-Verwaltungsaufwands um 60%.

Flugzeughersteller, erste 6 Monate der Einführung

Tiefe Integrationen, wo sie zählen

Tiefe, gepflegte Konnektoren zu HR-, Beschaffungs- und IT-Asset-Management-Systemen – den Systemen, die Datenschutz-Workflows tatsächlich speisen. Nicht 200 Konnektoren, die 200 Wartungsprobleme schaffen.

Datenschutz ist das gesamte Produkt

Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Betroffenenanfragen, Breach-Management, KI-Register, einheitenübergreifende Datenzuordnung – alles in einer Plattform. Wir decken weder ESG noch Cookie-Einwilligung ab, weil wir Tiefe statt Breite gewählt haben.

Checkliste zur SCC-Compliance für grenzüberschreitende Datentransfers aus China

Hören Sie auf, Orientierung aus verstreuten Behördenmitteilungen und widersprüchlichen Blogbeiträgen zusammenzustückeln. Diese Checkliste bündelt die operativen Anforderungen, die Ihr Team tatsächlich braucht, um Datentransfers aus China ins Ausland mit Standardvertragsklauseln zu steuern – abgeglichen mit den neuesten CAC-Vorschriften.

Das erwartet Sie darin:

  • Schritt-für-Schritt-Anleitung zum CAC-Standardvertrags-Einreichungsverfahren – von der Folgenabschätzung zum Schutz personenbezogener Informationen bis zur Einreichung bei der Provinzbehörde
  • Schwellenwert-Matrix, die zeigt, wann SCCs gelten und wann Sie eine CAC-Sicherheitsbewertung oder Zertifizierung benötigen – basierend auf Datenvolumen, Sensibilität und Betreibertyp
  • Liste von Dokumentationsvorlagen für die verpflichtende PIPIA, die Pflichten des Datenempfängers und die Vertragsbedingungen, die die CAC in Ihrem Einreichungspaket erwartet
  • Querverweistabelle, die Chinas SCC-Anforderungen den EU-SCCs gegenüberstellt – damit Ihr Rechtsteam Lücken in bestehenden Transfervereinbarungen erkennen kann, ohne bei null zu beginnen

Holen Sie sich die Checkliste – kostenlos

Geben Sie Ihre geschäftliche E-Mail-Adresse ein und wir senden Ihnen das PDF direkt in Ihren Posteingang. Kein Demo-Gespräch, keine Vertriebssequenz.

Kostenloses PDF. Keine Demo erforderlich. Wir senden es Ihnen in Ihren Posteingang.

Verwalten Sie Datenschutz-Compliance nicht länger in Tabellen. Verwalten Sie sie richtig.

Ein Flugzeughersteller senkte den Compliance-Verwaltungsaufwand in sechs Monaten um 60%. Ein Schweizer Versicherer erreichte eine 100%-Rezertifizierung des Verarbeitungsverzeichnisses – vollständig automatisiert. Ein Medizintechnikunternehmen sparte über 200 Stunden bei der Vorbereitung auf ISO 27001. Sehen Sie, wie Priverion mit Ihren Daten, Ihren Einheiten, Ihren Workflows aussieht.

Wochen, nicht Monate

Durchschnittliche Zeit bis zum Go-Live – basierend auf Onboarding-Daten von Kunden

50+ Einheiten

Gruppenweiter Massstab – verwaltet über eine einzige Plattform

100% in der Schweiz gehostet

Sämtliche Datenverarbeitung innerhalb der Schweizer Infrastruktur

Kein Verkaufsgespräch – eine Live-Vorführung anhand Ihres Anwendungsfalls. Planbare Preise ohne Pro-Nutzer-Fallen.

Erleben Sie Priverion anhand Ihres Anwendungsfalls

30 Minuten. Ihre Einheiten, Ihre Transferszenarien, Ihre Fragen. Keine Folien, kein Verkaufsgespräch – eine Live-Vorführung, zugeschnitten darauf, wie Ihre Organisation grenzüberschreitende Compliance tatsächlich verwaltet.

Wir antworten innerhalb eines Arbeitstags. Ihre Daten bleiben in der Schweiz – auch die Demo-Anfrage.

Buchen Sie Ihre China-SCC-Compliance-Demo
Über diese Seite — Quellen, Definitionen und FAQs

Key Takeaways

Chinas Personal Information Protection Law (PIPL) verlangt von Organisationen, die personenbezogene Informationen ausserhalb der VR China übermitteln, Standardvertragsklauseln (SCCs) mit ausländischen Empfängern abzuschliessen und bei der Cyberspace Administration of China (CAC) einzureichen. Jede Tochtergesellschaft in der VR China muss innerhalb von 10 Arbeitstagen eigenständig einreichen. Vor jedem Transfer ist eine Personal Information Impact Assessment (PIIA) verpflichtend. Priverion vereint die China-SCC-Compliance mit DSGVO-, Schweizer revDSG- und ISO-27001-Workflows in einer einzigen, in der Schweiz gehosteten Plattform.

Definitionen

Was ist das Personal Information Protection Law (PIPL)?

PIPL ist Chinas umfassendes Datenschutzgesetz, in Kraft seit dem 1. November 2021. Es regelt die Erhebung, Speicherung, Nutzung, Verarbeitung, Übermittlung, Bereitstellung, Offenlegung und Löschung personenbezogener Informationen innerhalb der Volksrepublik China. Das PIPL begründet eine extraterritoriale Zuständigkeit über ausländische Einheiten, die personenbezogene Informationen von in China befindlichen Personen verarbeiten. IAPP — China PIPL Overview

Was sind Standardvertragsklauseln (SCCs) nach dem PIPL?

Standardvertragsklauseln (Standard Contract Clauses, SCCs) nach Chinas PIPL sind staatlich vorgeschriebene Vertragsbedingungen, die ein Verarbeiter personenbezogener Informationen mit einem ausländischen Empfänger abschliessen muss, bevor er personenbezogene Informationen aus der VR China übermittelt. Die Massnahmen für den Standardvertrag für die Auslandsübermittlung personenbezogener Informationen wurden von der CAC am 24. Februar 2023 veröffentlicht und traten am 1. Juni 2023 in Kraft.

Was ist eine Personal Information Impact Assessment (PIIA)?

Eine Personal Information Impact Assessment (PIIA) ist eine verpflichtende Bewertung vor dem Transfer, die nach PIPL Artikel 55 erforderlich ist. Sie bewertet die Rechtmässigkeit und Notwendigkeit der Datenverarbeitung, die Risiken für die Rechte der betroffenen Personen, die Angemessenheit der Schutzmassnahmen und das Datenschutzumfeld des Empfängerlandes. PIIA-Aufzeichnungen müssen mindestens 3 Jahre nach Ende des Transfers aufbewahrt werden.

Was ist die Cyberspace Administration of China (CAC)?

Die Cyberspace Administration of China (CAC) ist die zentrale Internetregulierungs- und Zensurbehörde, die für die Durchsetzung der chinesischen Datenschutz- und Cybersicherheitsvorschriften zuständig ist, einschliesslich des PIPL-SCC-Einreichungsverfahrens und der Sicherheitsbewertungen für grenzüberschreitende Datentransfers.

Häufig gestellte Fragen

Was sind Chinas Standardvertragsklauseln für grenzüberschreitende Datentransfers?

Chinas Standardvertragsklauseln (SCCs) sind ein gesetzlich vorgeschriebener Transfermechanismus nach dem Personal Information Protection Law (PIPL). Organisationen, die personenbezogene Informationen ausserhalb der VR China übermitteln, müssen einen Standardvertrag mit dem ausländischen Empfänger abschliessen und diesen innerhalb von 10 Arbeitstagen nach Inkrafttreten des Vertrags bei der zuständigen Provinzbehörde der CAC einreichen. Vor dem Transfer ist eine Personal Information Impact Assessment (PIIA) abzuschliessen. Die SCC-Vorlage wurde von der CAC am 24. Februar 2023 veröffentlicht und trat am 1. Juni 2023 in Kraft.

Wie unterscheidet sich eine China-PIIA von einer DSFA nach DSGVO?

Eine chinesische Personal Information Impact Assessment (PIIA) nach PIPL hat andere Risikofaktoren, Aufbewahrungsregeln und einen verpflichtenden Einreichungsschritt bei der CAC — anders als eine Datenschutz-Folgenabschätzung (DSFA) nach DSGVO, die nur auf Anfrage einer Aufsichtsbehörde vorgelegt wird. Die PIIA muss die Rechtmässigkeit und Notwendigkeit des Transfers, die Risiken für betroffene Personen und die Datenschutzfähigkeiten des ausländischen Empfängers bewerten. Laut der vergleichenden Analyse der IAPP sind die Bewertungsanforderungen des PIPL hinsichtlich des Rechtsumfelds des Empfängerlandes präskriptiver.

Wann muss eine China-SCC-Einreichung aktualisiert oder rezertifiziert werden?

China-SCC-Einreichungen müssen aktualisiert werden, wenn sich der Transferzweck ändert, neue Kategorien personenbezogener Informationen hinzukommen, sich die Aufbewahrungsdauer verlängert, der ausländische Empfänger seine Unterauftragsverarbeiter wechselt oder sich die Datenschutzgesetze des Empfängerlandes wesentlich ändern. Die PIIA muss erneut durchgeführt und die aktualisierte Einreichung bei der CAC vorgelegt werden. Ein Versäumnis der Aktualisierung kann zu Durchsetzungsmassnahmen führen, einschliesslich der Anordnung, den Transfer einzustellen.

Welche Anforderung an die Aufbewahrung von PIIA-Aufzeichnungen gilt nach Chinas SCC-Regeln?

Nach Chinas SCC-Regeln müssen Aufzeichnungen der Personal Information Impact Assessment (PIIA) mindestens 3 Jahre ab dem Datum, an dem der Transfer endet, aufbewahrt werden. Die CAC kann diese Aufzeichnungen zusammen mit Einreichungsbestätigungen und SCC-Anhängen jederzeit während dieses Zeitraums anfordern.

Kann die China-PIPL-SCC-Compliance gemeinsam mit der DSGVO in einer Plattform verwaltet werden?

Ja. Multi-Framework-GRC-Plattformen wie Priverion ermöglichen es Datenschutzteams, die SCC-Anforderungen nach Chinas PIPL — einschliesslich PIIAs, CAC-Einreichungen und Transferregister — gemeinsam mit DSGVO-SCCs nach Artikel 46, Angemessenheitstransfers nach Schweizer revDSG und Pflichten zum Verarbeitungsverzeichnis in einem einzigen einheitlichen System zu verwalten. Dies beseitigt Doppelarbeit über Jurisdiktionen hinweg und verringert das Risiko von Compliance-Lücken.

Was sind die drei rechtmässigen Mechanismen für grenzüberschreitende Transfers nach Chinas PIPL?

Chinas PIPL sieht drei rechtmässige Mechanismen für grenzüberschreitende Transfers personenbezogener Informationen vor: (1) das Bestehen einer von der CAC durchgeführten Sicherheitsbewertung, die für Betreiber kritischer Informationsinfrastruktur und für Verarbeiter erforderlich ist, die personenbezogene Informationen oberhalb bestimmter Volumenschwellen verarbeiten; (2) die Erlangung einer Zertifizierung zum Schutz personenbezogener Informationen von einer anerkannten Institution; und (3) den Abschluss von Standardvertragsklauseln mit dem ausländischen Empfänger und deren Einreichung bei der CAC. Laut der IAPP ist der SCC-Weg der am häufigsten genutzte Mechanismus für Organisationen, die die Schwellenwerte für eine Sicherheitsbewertung nicht erreichen.

Welche Strafen drohen bei Nichteinhaltung von Chinas Regeln für grenzüberschreitende Datentransfers?

Nach den PIPL-Artikeln 66–69 können Verstösse gegen die Regeln für grenzüberschreitende Datentransfers zu Geldbussen von bis zu 50 Millionen RMB (rund 7 Millionen USD) oder 5% des Jahresumsatzes des Vorjahres, zur Aussetzung des Geschäftsbetriebs und zum Entzug von Geschäftsgenehmigungen führen. Verantwortliche Personen können mit persönlichen Geldbussen von bis zu 1 Million RMB belegt werden.

Warum ist Schweizer Datenhosting für Compliance-Werkzeuge wichtig?

Die Schweiz profitiert von einem EU-Angemessenheitsbeschluss nach DSGVO, was bedeutet, dass personenbezogene Daten ohne zusätzliche Garantien frei aus der EU in die Schweiz fliessen können. Das Hosten von Compliance-Daten — einschliesslich PIIAs, Einreichungsnachweisen und Transferbewertungen — in Schweizer Infrastruktur vermeidet die rechtlichen Komplexitäten von in den USA gehosteten Plattformen, die FISA Section 702 und Executive Order 12333 unterliegen, welche zentrale Streitpunkte im Schrems-II-Urteil waren.

Statistiken und Branchenkontext

Laut dem IAPP-EY 2023 Annual Privacy Governance Report gaben 60% der Organisationen an, dass die Verwaltung grenzüberschreitender Datentransfers eine ihrer drei grössten Datenschutz-Herausforderungen ist. Der Bericht stellte zudem fest, dass ein durchschnittliches Datenschutzteam 5,4 Vollzeitstellen umfasst, was den Bedarf an Automatisierung bei der mehrgerichtsbarkeitsübergreifenden Compliance unterstreicht. Eine Gartner-Prognose ging davon aus, dass bis 2025 die personenbezogenen Daten von 75% der Weltbevölkerung durch moderne Datenschutzvorschriften abgedeckt sein würden, was die Nachfrage nach einheitlichen Compliance-Plattformen antreibt, die mehrere Rahmenwerke gleichzeitig abdecken.

Vergleich: China-PIPL-SCC vs. DSGVO-SCC nach Artikel 46

AspektChina-PIPL-SCCDSGVO-SCC nach Artikel 46
RechtsgrundlagePIPL Artikel 38(3); CAC-Massnahmen (2023)DSGVO Artikel 46(2)(c); EU-Kommissionsbeschluss 2021/914
EinreichungspflichtVerpflichtende Einreichung bei der Provinzbehörde der CAC innerhalb von 10 ArbeitstagenKeine Einreichung erforderlich; auf Anfrage der Datenschutzbehörde verfügbar
Bewertung vor dem TransferPIIA verpflichtend (PIPL Artikel 55)Transferfolgenabschätzung (TIA) gemäss EDSA empfohlen
Aufbewahrung von AufzeichnungenMindestens 3 Jahre nach Ende des TransfersDauer der Verarbeitung + Verjährungsfrist
Strafen (max.)50 Millionen RMB oder 5% des Jahresumsatzes20 Millionen € oder 4% des weltweiten Jahresumsatzes
GeltungsschwelleGilt bei der Verarbeitung von Daten von weniger als 1 Million Personen (oberhalb der Schwelle ist eine Sicherheitsbewertung erforderlich)Keine Volumenschwelle; gilt für alle Transfers in nicht angemessene Länder
VertragsvorlageVon der CAC vorgeschrieben; keine Änderungen an den KernklauselnVon der EU-Kommission vorgeschrieben; begrenzte Änderungen zulässig